Компания VMware анонсировала плагин для мониторинга состояния кластера хранилищ - Virtual SAN 6.0 Health Check Plugin. Напомним, что о возможностях VSAN 6.0 мы писали вот тут.
На самом деле, новый плагин от VMware полезен не только тем, что мониторит состояние компонентов решения во время работы, но и позволяет понять, что вы все развернули и настроили правильным образом, а кластер готов к промышленной эксплуатации. Расскажем о новом плагине на основе описания, которое привел Cormac Hogan.
Плагин состоит из двух компонентов: плагин для vCenter и установочные VIB-пакеты для хостов VMware ESXi. Для vCenter под Windows доступен MSI-установщик плагина, а для vCSA есть соответствующий RPM-пакет. По умолчанию Healthcheck-сервис отключен, когда вы нажмете кнопку "Enable" - на все хосты ESXi установится VIB-пакет агента.
После установки VIB'а, если у вас есть DRS-кластер, хосты будут переходить в Maintenance Mode и перезагружаться, поочередно накатывая обновление. Если DRS-кластера нет, то придется делать это вручную.
После установки агентов, вы будете видеть состояние основных компонентов в разделе Monitor > Virtual SAN:
Важный момент - плагин проверяет совместимость вашего оборудования с требованиями VMware Compatibility Guide к кластеру Virtual SAN, что обычно является головной болью администраторов vSphere. Если vCenter имеет доступ в интернет, то можно напрямую загрузить базу данных HCL, если же нет - ее можно скачать вручную и импортировать.
Прикольная функция - каждая проверка привязана к базе знаний VMware, поэтому если у вас загорелось предупреждение или ошибка, можно нажать кнопку "Ask VMware", и откроется страничка с подробной информацией по теме:
Интересно также то, что Virtual SAN Health Check Plugin ведет себя не только реактивно, реагируя на возникающие ошибки, но и способен выполнять набор проактивных тестов. Например, это может быть полезно, когда нужно проверить кластер хранилищ перед его вводом в промышленную эксплуатацию - проверить состояние виртуальных машин, эффективную ширину канала между узлами и т.п. Ну и, конечно, же полезно посмотреть результаты теста производительности, они будут показаны в колонках IOPS и Latency:
Кстати, можно регулировать время выполнения теста.
Также есть еще одна важная и полезная вещь - поддержка Support Assistant. Если у вас есть открытый Service Request (SR), логи могут быть загружены через Support Assistant и ассоциированы с вашим SR.
Ранее смену сертификатов на vCSA необходимо было делать из командной строки, что очень неудобно и требует времени. Теперь это можно сделать за пару минут с помощью данной утилиты, пользоваться которой очень просто.
Для начала работы вам понадобится Windows-машина (Windows 7, Server 2008 R2) с установленным Java SE Runtime Environment 8. Также потребуется некоторым образом подготовить окружение, о чем написано вот тут (вкладка Instructions).
Возможности Certificate Manager for vCenter Server Appliance 5.5:
Замена сертификатов для vCenter Server, Inventory Service, Log Browzer и Auto Deploy.
Поддержка сервиса Single-Sign On (SSO), который использует тот же сертификат, что и vCenter Server.
Возможность создания резервных копий предыдущих сертификатов и ассоциированных с ними файлов.
Логгирование процесса и возможность анализа логов.
Как пользоваться утилитой:
Запускаем certmgr.jar.
Выбираем компоненты vCSA, для которых нужно заменить сертификаты.
Вводим параметры учетной записи root на vCSA.
Вводим параметры учетной записи vCenter Single-Sign On (в качестве пользователя нужно брать только Administrator@vsphere.local, а в поле IP/Hostname нужно вводить FQDN-имя хоста).
С помощью drag and drop перетащите сертификат, ключ и pfx-файл в соответствующие текстовые поля.
Нажмите кнопку Start и дождитесь появления сообщения Run Complete.
Нажмите на кнопку Logs, чтобы узнать, успешно ли завершилась процедура замены сертификатов.
Скачать Certificate Manager for vCenter Server Appliance 5.5 можно по этой ссылке. Ожидаем в скором времени версию с поддержкой vSphere 6 и vCSA 6.
В последнее время мы много пишем о новой версии платформы виртуализации VMware vSphere 6.0, о которой большинство блоггеров писало еще со времени выпуска бета-версии. Как раз по этой причине в сети размещено много статей, относящихся к бете и ее возможностям, что иногда не соответствует параметрам и функционалу релизной версии. Попробуем в этой статье внести определенность в некоторые из этих вещей.
Итак, что есть на самом деле в VMware vSphere 6:
Первая ошибка была в документе vSphere 6.0 What's New - там было указано, что в кластере может быть до 6000 виртуальных машин. На самом деле их может быть до 8000.
Если раньше толстым клиентом vSphere Client (C#) можно было соединяться только с хостами ESXi, то в релизной версии можно коннектиться и к vCenter Server. Однако помните, что функции, которые появились, начиная с версии vSphere 5.5, доступны только в тонком клиенте vSphere Web Client. Толстым клиентом можно редактировать функции доступные до Virtual Hardware 8 (например, добавить памяти или диск выключенному vCenrer), а вот Virtual Hardware 9, 10 и 11 - уже доступны только для чтения.
Fautl Tolerance с несколькими vCPU будет доступна для машин vCenter, но только для некоторых вариантов использования. Информация об этом появится несколько позже.
Поддерживаемые БД vCenter для Windows включают в себя Microsoft SQL Server 2008 R2, 2012 и 2014, Oracle 11g и 12c, а также встроенную БД vPostgres. БД vPostgres для Windows имеет ограничение 20 хостов и 200 виртуальных машин. При апгрейдах инфраструктур, где была БД SQL Express, будет установлен vPostgres. vCenter Server Appliance (vCSA) поддерживает встроенную БД vPostgres для 1000 хостов и 10,000 виртуальных машин (то есть, на полноценную конфигурацию). Также для vCSA поддерживаются Oracle 11g и 12c, но их поддержка в скором времени будет прекращена (только для vCSA, само собой).
По поводу кластеров vCenter средствами MSCS - да, Cluster Services поддерживаются для vCenter Server 5.5 U3 и 6.0, в дополнение к кластерам БД на бэкэнде.
Если для ранних билдов vSphere политику RPO для vSphere Replication можно было понизить до 5 минут, то в релизной версии минимум - 15 минут.
По поводу нового компонента Platform Services Controller (PSC), который включает в себя модули Single Sign-On (SSO), Licensing и VMware Certificate Authority (VMCA) - его надо выносить на отдельную машину тогда, когда у вас есть несколько решений, использующих SSO, например vSphere и vRealize Suite. В остальных случаях для малых и средних инфраструктур ставьте вместе с vCenter.
В версии vSphere 6.0 все компоненты vSphere Web Client, Inventory Service, Auto-Deploy, Syslog Collector, Network dump collector и некоторые другие ставятся только на один сервер с vCenter Server. Если вы обновляете инфраструктуру vSphere 5.x на 6.x, то конфигурация компонентов будет собрана со всех серверов, где они установлены, но сами компоненты будут поставлены на один сервер.
Новых возможностей VMware vSphere 6.0 так много, что все они не уместятся в одной статье, поэтому приведем тут ссылки на наши заметки с описанием нового функционала платформы:
Интересная штука появилась на сайте проекта VMware Labs - средство миграции VCS to VCVA Converter. Эта штука позволяет преобразовать имеющийся у вас сервер VMware vCenter под управлением ОС Windows с внешней БД Microsoft SQL Server в виртуальный модуль (VIrtual Appliance) vCetner Server Appliance на базе Linux со встроенной базой данных vPostgres, который также должен быть у вас в наличии при миграции.
С помощью утилиты (которая также представляет собой виртуальный модуль) можно перенести саму БД, а также роли, пермиссии, привилегии, сертификаты и службу Inventory Service. Результирующий виртуальный модуль vCSA должен иметь тот же IP-адрес, что исходный сервер VMware vCenter, но не должен быть включен при миграции.
Системные требования VCS to VCVA Converter:
vCenter Server под Windows - для vSphere 5.5 или более поздней версии.
Windows vCenter Server и vCenter Server Appliance должны быть одной версии (например, vCenter Server Windows 5.5 u1 -> VCSA 5.5 u1).
vCenter Server Appliance должен иметь как минимум столько же vCPU и памяти, сколько и исходный хост vCenter Server.
Компоненты vCenter Components (Inventory Service, vSphere Web Client и VMware Single Sign On) должны быть на том же хосте, что и vCenter Server.
Должен быть внешний Microsoft SQL Server 2008 R2 (или более поздний) с vCenter Database (VCDB).
vSphere Web Client Plugins должны быть зарегистрированы под пользователем Active Directory.
Службы VMware Single Sign On (пользователи и группы) на данный момент не переносятся (нужно заводить заново).
Утилита (Migration Appliance) должна иметь возможность взаимодействия с vCenter, его БД и виртуальным модулем vCSA. Следующие порты должны быть открыты на vCenter Server и на VCSA:
22 (ssh)
443 (https)
445 (SMB)
Ограничения утилиты:
Microsoft SQL Server и vCenter Server должны быть на разных хостах (встроенная БД не пойдет).
Microsoft SQL Express Database не поддерживается версией 0.9 утилиты.
Windows Local Users и Groups не мигрируются версией 0.9 утилиты.
vCenter Alarm action scripts также не переносятся в версии 0.9.
Миграция потребует некоторого прерывания в работе vCenter Server.
Конфигурация Linked Mode не мигрируется (надо делать все в ручную).
Сторонние плагины для Web Client (например, VMware Update Manager или NSX) также не будут перенесены.
Загрузить виртуальный модуль VCS to VCVA Converter можно по этой ссылке.
Мы много пишем про новые возможности платформы виртуализации VMware vSphere 6, релиз которой должен состояться уже в ближайшее время. Напомним наши последние посты:
Но и компания VMware тоже старается от нас не отставать. Например, недавно она объявила о доступности вебинара "Новинки vSphere 6" на русском языке, который можно в любое время посмотреть по запросу.
Многовато болтовни в начале, но для тех, кто готов слушать о VMware от VMware - почему бы и нет.
Продолжаем вас знакомить с новыми возможностями платформы виртуализации VMware vSphere 6, которая еще не вышла, но про которую уже все что можно написано. Напомним и наши посты на эту тему:
Теперь на очереди улучшения хранилищ, а именно - возможность работы по протоколу NFS версии 4.1, которую ожидали очень долго (еще со времен ESX 3 хост-серверы работают с хранилищами по протоколу NFS 3). Об этом написал Cormac Hogan, являющийся экспертом в области инфраструктуры хранилищ VMware vSphere.
Итак, начать нужно с того, что при монтировании тома NFS на хосте ESXi важно использовать одну версию протокола, так как если один хост смонтирует том как NFS 3, а другой этот же том как NFS 4.1 - последствия для данных этого тома могут оказаться очень печальными (данные будут повреждены). Это во многом потому, что третья версия протокола использует клиентские блокировки (client side co-operative locking), а 4.1 - блокировки на стороне сервера (server-side locking).
Поэтому самый надежный метод - на хранилище разрешить использовать для тома только одну версию протокола NFS. Ну и соответственно при монтировании папки надо указать правильную версию протокола, везде одинаково:
Ну а теперь возможности при работе vSphere 6.0 с общими ресурсами NFS 4.1:
1. Multipathing и Load-blanacing
Протокол NFS 4.1, помимо улучшений производительности, имеет встроенные возможности доступа по нескольким путям и балансировки нагрузки.
В списке Servers to be added можно плюсиком из поля выше ввести список из нескольких IP-адресов серверов кластера для обеспечения балансировки нагрузки по нескольким путям. Ранее такое было доступно только для протокола iSCSI.
Отмечается, что поддержки pNFS (Parallel NFS) в VMware vSphere 6.0 нет.
2. Поддержка аутентификации Kerberos.
В NFS 3 добавлять папки нужно было только под пользователем root, соответственно на хранилищах нужно было везде включать настройку no_root_squash, что не очень-то безопасно.
В NFS 4.1 можно создать нерутового юзера для папок, а на хостах нужно создать специального пользователя следующей командой:
esxcfg-nas -U -v 4.1
Везде на хостах ESXi, имеющих доступ к одним и тем же NFS-ресурсам должны быть добавлены одинаковые пользователи. Если пользователи разные, то у вас, например, не пройдет vMotion (вывалится с ошибкой).
Чтобы возможность аутентификации Kerberos работала, нужно чтобы все хосты ESXi были введены в домен Active Directory (об этом написано на скриншоте, у восклицательного знака).
3. Работа NFS 4.1 с другими технологиями VMware.
К сожалению, поддержка NFS 4.1 в vSphere 6.0 неполная - такие хранилища не поддерживаются для следующих технологий и продуктов VMware:
Storage DRS
Storage I/O Control
Site Recovery Manager
Virtual Volumes
При этом функции кластеров высокой доступности HA и балансировка нагрузки DRS полностью поддерживается. Ну и отметим тут, что IPv6 поддерживается для доступа по протоколу NFS 4.1, однако только в режиме AUTH_SYS (то есть без аутентификации Kerberos).
Продолжаем рассказывать о возможностях новой версии серверной платформы виртуализации VMware vSphere 6, выход которой ожидается в ближайшее время. Напомним наши последние посты на эту тему:
Сегодня у нас на очереди одна из самых интересных тем в vSphere 6 - технология организации хранилищ VMware vSphere Virtual Volumes (VVOls). Напомним, что ранее мы подробно писали о ней тут. С тех пор появилось некоторое количество новой информации, которую мы постараемся актуализировать и дополнить в этом посте.
Начнем с того, что vVOL - это низкоуровневое хранилище для виртуальных машин, с которым позволены операции на уровне массива по аналогии с теми, которые сегодня доступны для традиционных LUN - например, снапшоты дискового уровня, репликация и прочее. vVOLs - это новый способ организации хранилищ в виде удобном для массива, когда используется не традиционная файловая система VMFS, а массив сам определяет, каким образом решать задачи доступа и организации работы с данными для виртуальных машин.
Тома vVOLs создаются на дисковом массиве при обращении платформы к новой виртуальной машине (создание, клонирование или снапшот). Для каждой виртуальной машины и ее файлов, которые вы сейчас видите в папке с ВМ, создается отдельный vVOL. В итоге же, создаются следующие тома на хранилище:
1 config vVOL создается для метаданных ВМ, он включает в себя конфигурационный файл .vmx, дескрипторные vmdk для виртуальных дисков, лог-файлы и прочие вспомогательные файлы.
1 vVOL создается для каждого виртуального диска .VMDK.
1 vVOL создается для файла подкачки, если это требуется.
1 vVOL создается для каждого снапшота и для каждого снимка оперативной памяти.
Дополнительные тома vVOL могут быть созданы для клонов или реплик виртуальной машины.
Давайте посмотрим на архитектуру VVols:
Здесь мы видим следующие компоненты:
Storage Provider (SP)
Технология vVOLs при взаимодействии с аппаратным хранилищем реализуется компонентом Storage Provider (SP), который также называется VASA Provider (подробнее об интерфейсе VASA - тут). Storage provider - это предоставляемый вендором аппаратного обеспечения слой ПО, который обеспечивает взаимодействие платформы vSphere и, собственно, хранилища с организованными на нем томами vVOLs в виде контейнеров (storage containers). vVOLs используют механизм VASA 2.0, который позволяет управлять объектами виртуальных машин (дискми) прямо на хранилище.
Protocol EndPoint (PE)
Если раньше каждый хост налаживал в случае необходимости соединение с каждым из vmdk-дисков виртуальных машин и получалось куча связей, то теперь у хранилища есть логическое I/O-устройство, через которое происходит общение с томами vVOL. PE можно считать сущностью, пришедшей на замену LUN, этих PE может быть создано сколько угодно (кстати, длина очереди у PE - 128 по умолчанию, вместо 32 у LUN).
То есть, через PE хост ESXi получает доступ к данным конкретной виртуальной машины. PE совместимы с существующими протоколами FC, iSCSI и NFS и позволяют использовать уже имеющееся ПО для управления путями в SAN. К отдельному PE через vCenter можно привязать или отвязать тома vVOL отдельных виртуальных машин. Для хранилища не нужно много PE, одно это логическое устройство может обслуживать сотни и тысячи виртуальных томов vVOL.
Storage Container (SC)
Это логическая сущность, которая нужна для объединения томов vVOL по типам в целях выполнения административных задач. Storage Container создается и управляется на стороне дискового массива и предназначен для логической группировки и изоляции виртуальных машин (например, виртуальные машины отдельного клиента в публичном облаке vCloud).
vVOL Datastore
Это хранилище, которое непосредственно создается из vSphere Client. По-сути, это представление Storage Container (SC) для платформы VMware vSphere. Этот тип датастора можно, например, выбрать при создании виртуальной машины:
С точки зрения администрирования, эти датасторы аналогичны VMFS-томам - вы так же можете просматривать их содержимое и размещать там виртуальные машины. Но для них недоступны операции расширения или апгрейда - они полностью контролируются со стороны дискового массива.
Policy Based Management
Это механизм, который позволяет назначать виртуальным машинам политики, которые определяют ее размещение, а как следствие, и производительность с точки зрения подсистемы ввода-вывода (например, можно задавать необходимые трешхолды по ReadOPs, WriteOPs, ReadLatency и WriteLatency.).
Дисковый массив на базе этих политик позволяет разместить виртуальную машину на нужном хранилище и обеспечить необходимые операции по обеспечению нужного уровня производительности.
По прочтении этого материала возникает вопрос - а чем vVOLs лучше механизма VAAI, который уже давно существует для VMware vSphere? Ответ прост - это замена VAAI, которая позволяет еще больше функций по работе с виртуальными машинами и организации хранилищ переложить на сторону аппаратного обеспечения. В случае невозможности операций с vVOLs будет произведено переключение на использование примитивов VAAI:
Мы уже весьма немало писали про возможности обновленной версии платформы виртуализации VMware vSphere 6, в которой будет настолько много новых фичей, что мы не можем перечислить их все в одной статье. Поэтому мы делаем это по частям:
В этой части мы расскажем о новых возможностях платформы vSphere с точки зрения улучшений, сделанных непосредственно в плане хостов ESXi и виртуальных машин.
Итак, начнем по порядку:
1. Новые возможности хост-сервера и кластера.
Если еще с давних времен кластеры VMware HA/DRS объединяли 32 хоста, то в версии vSphere 6 кластер, наконец-то, может объединять до 64 хостов включительно. Помимо этого, на хосте может быть запущено до 1000 виртуальных машин (и до 8000 в кластере), а сам ESXi поддерживает сервер с числом процессоров до 480 CPU и памятью до 12 ТБ.
Сравним с предыдущей версией:
2. Новые возможности виртуальных машин.
Виртуальные машины, как и хосты ESXi, также стали поддерживать еще большие максимальные конфигурации - теперь можно создать машину со 128 vCPU и до 12 ТБ оперативной памяти:
Интересны также и другие возможности. Горячее добавление памяти теперь правильно работает с vNUMA, что положительно сказывается на производительности. Появилась поддержка ускорения для объектов GDI в пакете драйверов WDDM 1.1, также контроллер xHCI 1.0 теперь работает с драйвером этого контроллера под Мак, начиная с OS X 10.8.
3. vMotion теперь работает между разными vCenter и на большие расстояния.
В VMware vSphere 6 технология горячей миграции виртуальных машин vMotion была значительно улучшена. Во-первых, виртуальные машины могут теперь перемещаться между виртуальными коммутаторами Standard vSwitch и Distributed vSwitch в любой их комбинации, при этом при уходе с vDS настройки машины на его портах сохраняются и уезжают вместе с ней.
Во-вторых, теперь виртуальные машины могут перемещаться между датацентрами с разными серверами vCenter (требуется лишь соединение на уровне L2). При переезде адрес виртуальной машины сохраняется и нарушения функционирования сети не происходит. Настройки машины также уезжают вместе с ней:
MAC-адреса всегда будут уникальными даже на разных vCenter, а когда машина приедет обратно - ее адрес не будет занят.
При этом для миграции не требуется ни общего хранилища, ни той же самой сети или того же vCenter - можно все это в рамках одной операции vMotion поменять:
Кроме того, если раньше vMotion "держала" задержку в канале (RTT) до 10 мс (и до 50 мс в Enterprise Plus издании), то теперь это значение увеличено до 100 мс. То есть, стратегия Follow the sun для перераспределения нагрузки - теперь реальность, так как такое RTT позволяет уже "трансконтинентальные" миграции vMotion:
Интересно, что с помощью такого vMotion можно, например, увести машины из датацентра в местности, где начинается ураган, который все обесточит - и при этом все это будет незаметно для пользователей (почти).
4. Полезные мелочи.
Во-первых, появилась настройка политики сложности пароля в Host Advanced System
Settings. Раньше для этого нужно было мудохаться с pam.d модулем.
Во-вторых, в логах хостов ESXi действия, произведенные через vCenter, включают в себя пользователя, которых их выполнял. Если раньше в логе было так: [user=vpxuser], то теперь вот так: [user=vpxuser:DOMAIN\User]. Весьма удобно.
Улучшенный механизм vSphere Network I/O Control версии 3 позволяет гарантировать уровень обслуживания на уровне vNIC виртуальной машины. Применять NetIOC можно также и к Distributed Port Group:
На этом вкратце все. Ну и так для общей информации - улучшения режима Linked Mode для серверов vCenter:
Продолжаем знакомить наших читателей с новыми возможностями платформы виртуализации VMware vSphere 6, релиз которой должен состояться уже совсем скоро. Напомним наши предыдущие посты на эту тему:
Сегодня у нас на очереди VMware vSphere 6 Web Client. Главная новость как раз об отсутствии нового - веб-клиент, по-прежнему, работает на Flash, никакого HTML5 - и это досадно. Поэтому в комментариях и пишут, что новый клиент - это "lipstick on a pig", то есть косметические улучшения без переработки по существу.
Но есть и хорошая новость - VMware уверяет, что новый клиент работает в пять раз быстрее прошлого:
Посмотрим на тесты:
Действительно, в каких-то отдельных случаях работает в 5 и более раз быстрее. Ну ок, давайте пройдемся по новым фичам:
1. Контроль производительности раздела "All Users’ Tasks".
Если раньше эта штука в панели Recent Tasks грузилась очень долго, особенно в инфраструктурах, где сервер vCenter обслуживал много хостов ESXi и пользователей, то теперь она отключена по умолчанию, чтобы не создавать нагрузки. Включить ее можно вручную, в следующем файле на сервере vCenter:
Для vCenter Server Appliance используйте этот конфиг-файл:
/etc/vmware/vsphere-client/webclient.properties
Меняем строчку show.allusers.tasks=false на show.allusers.tasks=true (перезагрузка не требуется).
Теперь все таски пользователей будут показываться в разделе All Users’ Tasks.
2. Множество улучшений производительности.
Производительность была целью номер один в новой версии vSphere 6 Web Client. Были переработаны следующие разделы:
Страницы Login (в 13 раз быстрее!) и Home
Страницы Summary
Страницы Networking
Списки Related Objects
Общая навигация по разделам
Графики производительности (Performance Charts - в 2 раза быстрее)
Контекстные меню действий по правой кнопке (Action Menu - в 4 раза быстрее!)
3. Таски и гибкое размещение панелей.
Теперь список задач удобно размещен внизу:
Сами панельки можно отлеплять и ресайзить:
4. Реорганизованные Action Menu.
Теперь в меню, вызываемых по правой кнопке, все действия размещены на нужных и интуитивно понятных местах, а сами действия не тянут при прорисовке лишних данных, что увеличивает производительность клиента:
5. Новое меню по кнопке Home.
Теперь из него можно попасть в наиболее часто используемые разделы:
6. Возможность убрать предупреждение о включенном SSH прямо из GUI.
Появилась так давно нужная ссылка Suppress Warning:
7. Возможность поместить алармы и таски на правую панель.
Очень удобно:
8. Ну и гора всяких мелочей.
Типа совместимости с прошлой и новой версией Fault Tolerance:
Самое обидное, что Web Client, по-прежнему, несовместим с VMware Update Manager - можно просматривать его задачи, но запускать Remediate нельзя.
Ну и напоследок полезная ссылка про трюки в vSphere Web Client, вам может оказаться очень полезной - http://tiny.cc/webclientwiki.
Все из вас знают, что недавно компания VMware анонсировала обновленную версию платформы VMware vSphere 6. Ввиду того, что новых функций уж очень много, мы решили разбить описание новых возможностей продуктов серверной линейки на несколько постов. Напомним последние из них:
Сегодня мы поговорим об анонсированной новой версии VMware vSphere Data Protection 6.0 (VDP) - продукте для резервного копирования виртуальных машин на серверах ESXi. Если ранее пользователям предлагалось одно из двух изданий - встроенное в платформу и vSphere Data Protection Advanced (с расширенными функциями), то теперь осталось только одно. Теперь VDP включено во все издания VMware vSphere, кроме самого базового (Essentials). То есть, пользователи vSphere 6.0 Essentials Plus и более старших изданий получат VDP в комплекте. Кстати, продукт vSphere Data Protection Advanced будет недоступен для заказа с 1 марта.
Напомним, что VDP построен на базе решения для резервного копирования и дедупликации EMC Avamar, которое развертывается как готовый виртуальный модуль (Virtual Appliance). ПО работает без агентов, использует функциональность Changed Block Tracking и может восстанавливать не только машины целиком, но и отдельные файлы из бэкапов через браузер. Шестая версия VDP поддерживает до 8 ТБ дедуплицированных данных бэкапов.
Итак, что нового появилось в VDP:
1. Агенты для Microsoft SQL Server, Exchange и SharePoint.
Напомним, что это намного раньше появилось в Veeam Backup and Replication, а теперь VMware "заимствует" функциональность у Veeam. Эти агенты позволяют создавать консистентные копии виртуальных машин с данными приложениями, а также восстанавливать отдельные объекты приложений из бэкапов (например, базу данных или электронное письмо). Агенты поддерживают такие функции, как SQL Server Failover, кластеры AlwaysOn и Exchange Database Availability Groups.
2. В VDP появилась интеграция с хранилищем EMC Data Domain с использованием ПО Data Domain Boost.
Теперь за обработку бэкапов может отвечать Data Domain, а модуль VDP просто отвечать за передачу данных. Данная функция также есть у Veeam.
3. Возможность репликации данных между модулями VDP.
Данные, передаваемые между модулями VDP дедуплицируются, поэтому в канал передаются только уникальные блоки данных. Это может оказаться необходимым при отбрасывании резервных копий на резервные хранилища через WAN. При этом поддерживаются различные топологии репликации данных виртуальных модулей - 1:1, N:1 и 1:N.
4. Сжатие данных для vSphere Replication.
Теперь если вы используете VMware SRM для репликации данных между площадками и восстановления машин после сбоев, то при передаче данных включается технология сжатия данных при передаче (end-to-end network compression).
Типичный коэффициент сжатия данных - от 1.6:1 до 1.8:1. Например, если раньше машина размером 37.5 ГБ передавалась за 52 минуты, то теперь она ужимается до 20.2 ГБ и передается за 29 минут.
5. Улучшенная репликация.
Теперь неаллоцированные регионы данных не гоняются по каналу репликации, что увеличивает ее скорость. Поддерживаются тонкие диски и устройства Virtual SAN.
6. Верификация резервных копий.
Теперь резервные копии VDP можно восстановить на временное хранилище и запустить машины отключенными от сети, чтобы убедиться, что ОС запускается и приложения работают.
7. Поддержка "подмораживания" файловых систем Linux.
Для Windows-систем уже давно есть quiescence-скрипты, которые подмораживают операции с данными ВМ, для которой происходит резервное копирование. Для Linux это появилось в версии VDP 6.0 (функция отключена по умолчанию).
8. Поддержка Storage vMotion и Storage DRS в целевом хранилище.
Ранее при перемещении реплики средствами Storage vMotion требовалась полная ресинхронизация ВМ, а в версии VDP 6.0 перемещение машин между серверами и хранилищами отслеживается, и процесс полной синхронизации не запускается.
Больше подробностей о возможностях vSphere Data Protection 6.0 можно узнать из вот этого документа.
Совсем недавно компания VMware анонсировала новую версию платформы виртуализации VMware vSphere 6.0, а также обновленные версии продуктов своей серверной линейки. Напомним наши статьи об этом:
Вместе с vSphere 6.0 было также объявлено и об обновлении до версии 6.0 виртуального модуля VMware vCenter Server Appliance (vCSA), построенного на базе ОС Suse Linux (SLES 11 SP3), в котором соответствующим образом настроены параметры безопасности и необходимые сервисы vCenter.
Кстати, напомним наши статьи о vCenter Server Appliance:
Ну а ниже мы расскажем, что нового появилось в vCSA 6.0.
1. Новая установка.
Теперь для развертывания vCSA понадобится ISO-образ, который можно загрузить прямо из веб-клиента vSphere:
Сам виртуальный модуль развертывается из OVF-пакета, также потребуется установить Client Integration Plug-in.
2. Типы развертывания.
С точки зрения самого vCenter появляется новый сервис Platform Services Controller (PSC), который заменяет существующие сервисы Single Sign-On (напомним, что они уже были переписаны в версии SSO 5.5). Если ранее SSO был частью vSphere и обновлялся только вместе с платформой, то теперь PSC может быть обновлен отдельно (например, если появились новые источники аутентификации или были исправлены ошибки), что очень удобно.
На картинке ниже Platform Services Controller может быть выделен для каждого сервиса vCenter, но также и несколько сервисов vCenter могут использовать один выделенный PSC (этот режим называется External PSC).
Помимо обычной установки из GUI с помощью мастера, vCSA можно развернуть в режиме скриптовой установки. Для этого в папке vCSA-CLI-Installer есть пять различных файлов сценариев, которые подходят под различные варианты развертывания.
4. "Размер" модуля.
При развертывании теперь просят указать "размер" виртуального модуля (один из четырех видов), от которого зависит его конфигурация и максимальное число хостов и ВМ:
5. Поддержка большинства функций vCenter для Windows.
Теперь vCSA больше похож на обычный vCenter Server для Windows. Действительно, посмотрите на таблицу:
Также vCSA поддерживает следующие возможности:
Полная поддержка Hardware version 11.
Встроенная и настроенная СУБД vPostgres (в качестве внешней базы также поддерживается Oracle).
Нативная репликация вместо Microsoft ADAM.
Репликация политик и тэгов в Linked Mode.
Возможность накатывания обновлений (Product & Security) через Patch Portal.
Что не поддерживается:
Не реализована поддержка VMware Update Manager (по прежнему, надо ставить на винду).
Нет поддержки Microsoft SQL Server.
Нет средств миграции SQL Server на vPostgres.
6. Три способа доступа к консоли виртуального модуля.
Теперь получить доступ к vCSA можно тремя способами:
Обычный, через vSphere Web Client.
Доступ через Appliance Shell - в этом режиме мы переходим в консоль по SSH или через интерфейс DCUI при нажатии Alt+F1.
Через DCUI - в DCUI можно получить доступ прямо из Web Client на вкладке Summary (тадо нажать на само изображение консоли).
Прямой доступ по порту через веб-браузер больше не поддерживается.
Вот тут можно посмотреть на весь процесс установки vCSA. Кстати, говорят загружается виртуальный модуль со всеми поднятыми сервисами достаточно долго - около 8 минут.
Как знают многие администраторы VMware vSphere, есть такое удобное средство vSphere Management Assistant (vMA), которое представляет собой виртуальный модуль (готовую виртуальную машину), средствами которой очень удобно управлять скриптами, исполняемыми на нескольких хостах VMware ESXi через интерфейс ESXCLI или Perl.
При выполнении различных сценариев на Linux-машине vMA иногда требуется создать задачу планировщика (крон-таску), чтобы запустить скрипт в назначенное время. Ниже мы опишем, как это нужно делать.
1. Чтобы запускать скрипты без аутентификации, нужно добавить хосты ESXi в vi-fastpass. Вы можете добавить только хосты ESXi, либо хост vCenter Server (или всех их). Используйте команду vifp addserver в интерактивном режиме (конфигурация сохраняется при перезагрузках):
4. Если крон-таска упадет, то вывод ошибок будет направляться сюда:
/var/mail/vi-admin
Вывод ошибки может быть таким:
Can’t load ‘/usr/lib/perl5/site_perl/5.10.0/libvmatargetlib_perl.so’ for module vmatargetlib_perl: libtypes.so: cannot open shared object file: No such file or directory at /usr/lib/perl5/5.10.0/x86_64-linux-thread-multi/DynaLoader.pm line 203.
at /usr/lib/perl5/site_perl/5.10.0/VMware/VmaTargetLib.pm line 10
Compilation failed in require at /usr/lib/perl5/site_perl/5.10.0/VMware/VIFPLib.pm line 9.
BEGIN failed–compilation aborted at /usr/lib/perl5/site_perl/5.10.0/VMware/VIFPLib.pm line 9.
Compilation failed in require at /home/vi-admin/graphite/esxi-perf-graphite.pl line 5.
BEGIN failed–compilation aborted at /home/vi-admin/graphite/esxi-perf-graphite.pl line 5.
Это значит вы некорректно добавили путь к библиотеке (/opt/vmware/vma/lib64:/opt/vmware/vma/lib).
Если же вы получаете вот такую ошибку:
“Server version unavailable at ‘https://[host]:443/sdk/vimService.wsdl’ at /usr/lib/perl5/5.10.0/VMware/VICommon.pm line 545.”
Это из-за непрошедшей SSL-аутентификации. Если у вас нет валидных SSL-сертификатов, отключите авторизацию через SSL в вашем скрипте:
На сайте проекта VMware Labs появилась интересная утилита ESXtopNGC Plugin, позволяющая получить функциональность консольного средства мониторинга производительности esxtop прямо в vSphere Web Client.
Возможности VMware ESXtopNGC Plugin:
Отдельные вкладки для статистик процессора, памяти, сети и дисковой подсистемы.
Гибкий вывод данных, в том числе в пакетном режиме.
Удобный и гибкий выбор необходимых счетчиков.
Полнофункциональное представление статистик с возможностью сортировки колонок, раскрытия строчек и т.п.
Настраиваемый период обновления данных.
Статистики по виртуальным машинам (VM-only stats).
Встроенные тултипы с описаниями назначений счетчиков.
Плагин ESXtopNGC на данный момент работает только с виртуальным модулем vCenter Server Appliance (vCSA) 5.5 или более поздних версий.
Для установки плагина загрузите его в одну из директорий на vCSA и выполните там команду:
Новая архитектура сервисов управления VMware vCenter в VMware vSphere 6.
Некоторое время назад мы писали о новых возможностях платформы виртуализации VMware vSphere 6, о которых было подробно рассказано на прошедшей конференции VMworld 2014. Одним из нововведений новой версии станет новая архитектура сервисов управления VMware vCenter.
Надо начать с того, что "толстый" десктопный клиент vSphere Client в vSphere 6 по-прежнему останется доступен для управления виртуальными машинами через vCenter. Причины просты - компании VMware так и не удается довести до ума Web Client - он все еще притормаживает и не настолько быстро обновляет статус объектов, как это делает обычный vSphere Client. Однако все новые возможности будут появляться только в vSphere Web Client.
С точки зрения самого vCenter появляется новый сервис Platform Services Controller (PSC), который заменяет существующие сервисы Single Sign-On (напомним, что они уже были переписаны в версии SSO 5.5). Если ранее SSO был частью vSphere и обновлялся только вместе с платформой, то теперь PSC может быть обновлен отдельно (например, если появились новые источники аутентификации или были исправлены ошибки), что очень удобно.
На картинке ниже Infrastructure Controller (это так сейчас в бете называется Platform Services Controller) может быть выделен для каждого сервиса vCenter, но также и несколько сервисов vCenter могут использовать один PSC.
В обоих случаях сохраняются функции синхронизации данных между контроллерами и механика их отказоустойчивости.
Помимо стандартных функций аутентификации SSO, компонент PSC возьмет на себя управление лицензиями, а также хранение сертификатов.
Когда у вас до 8 серверов vCenter в рамках одной географической площадки, то можно использовать один PSC (который устанавливается на том же хосте, где и один из серверов vCenter). Ну а если у вас несколько датацентров, то для каждого разумнее использовать свой PSC, к которому подключаются не только сервисы vCenter, но и другие компоненты виртуальной инфраструктуры, например, продукт для управления облачной инфраструктурой VMware vCAC или средства автоматизации vRealize Orchestrator (бывший vCenter Orchestrator):
Шестую версию vCenter уже настоятельно рекомендуют устанавливать в виртуальной машине, так как только тогда можно будет воспользоваться преимуществами технологий отказоустойчивости и непрерывной доступности VMware HA и VMware Fault Tolerance. Ранее был продукт и для физических серверов - vCenter Heartbeat, но его сняли с производства.
Настало время объединить все сервисы управления виртуальной средой (vCenter, серверы vCAC, vCenter Log Insight, vCenter Orchestrator, vCenter Operations Manager и т.п.) в виде блоков в виртуальных машинах:
Также весьма существенно будет доработан виртуальный модуль vCenter Server Appliance (vCSA). Теперь он будет поддерживать до 1 000 серверов ESXi под своим управлением, 10 000 включенных виртуальных машин, 64 хоста ESXi на кластер HA/DRS, 6 000 ВМ в кластере, а также 10 серверов vCenter в режиме Linked Mode.
Как многие из вас знают, ранее режим Linked Mode не поддерживался со стороны vCSA, так как для этого режима использовалась модель Active Directory Application Mode (ADAM), не поддерживаемая в Linux. Теперь для Linked Mode используется собственная аутентификация, поэтому объединение нескольких машин vCSA в единую мета-сущность теперь вполне возможно.
Как Windows-версия, так и vCSA будут использовать встроенную БД vPostgres, а в качестве внешних БД стандартно будут поддерживаться Microsoft SQL Server и Oracle.
Ну и, помимо всего прочего, сейчас ходят слухи о выпуске вместе с VMware vSphere 6 утилиты для миграции с Windows-версии vCenter на vCSA. Эта штука для многих пользователей будет очень кстати.
Вчера компания VMware выпустила обновление для платформы виртуализации VMware vSphere 5.5 Update 2, которое включает в себя апдейты составляющих компонентов - ESXi 5.5 Update 2 и vCenter Server 5.5 Update 2.
Основные новые возможности обновления:
Поддержка хостов ESXi с объемом памяти до 6 ТБ.
Агентское ПО VMware vShield Endpoint Thin Agent для поддержки взаимодействия с решениями vShield, которое устанавливается в гостевых ОС вместе с VMware Tools, теперь называется VMware Tools Guest Introspection plugin.
vCenter Server 5.5 U2 теперь поддерживает следующие внешние СУБД: Oracle 12c, Microsoft SQL Server 2012 Service Pack 1 и Microsoft SQL Server 2014.
Поддержка vCloud Hybrid Service (vCHS, переименован в vCloud Air) - теперь в vSphere Web Client на стартовой странице появился новый контейнер Hybrid Cloud Service, который содержит установщики vCHS и vCloud Connector.
Появились технические средства программы Customer Experience Improvement Program - теперь данные о конфигурации вашей виртуальной инфраструктуры на еженедельной основе могут передаваться на сторону VMware, чтобы она могла шпионить анализировать их и улучшать продукт.
Множественные исправления ошибок, о которых можно почитать в Release Notes.
При этом у данного релиза есть следующие особенности:
Начиная с vSphere 5.5 Update 2, операционные системы Windows XP и Windows Vista не поддерживаются для vSphere Web Client. Полный список поддерживаемых систем находится в VMware Compatibility Guide.
Так как Linux-платформы больше не поддерживаются механизмом Adobe Flash, то Web Client не поддерживается в ОС Linux. Но не поддерживается - не значит, что это прекратило работать.
VMware vCenter Server Appliance в vSphere 5.5 поддерживает гайдлайны по обеспечению ИБ DISA Security Technical Information Guidelines (STIG), поэтому перед использованием этого решения надо бы почитать VMware Hardened Virtual Appliance Operations Guide для того, чтобы узнать о новых стандартах безопасности и о том, как нужно работать, чтобы security-примочки не мешали.
В VMware vSphere 5.5 U2 больше не поддерживается СУБД IBM DB2 как база данных для vCenter.
Вся информация касательно установки VMware Tools в гостевых ОС теперь представлена в общей документации по VMware vSphere (начиная с версии 5.5).
vSphere Data Protection 5.1 не совместима с vSphere 5.5 по причине изменения рабочих процессов в vSphere Web Client. То есть, вместе с vSphere надо обновлять и VDP.
При обновлении компонентов виртуальной инфраструктуры посмотрите также Interoperability Matrix.
Скачать VMware vSphere 5.5 Update 2 можно по этой ссылке. Документация доступна тут.
Недавно на блогах VMware появился интересный пост, по-сути говорящий о том, что модуль vCSA имеет несколько ограничений и неприятных аспектов эксплуатации, которые надо учитывать, и которые не позволяют использовать это решение в производственной среде.
Приведем здесь эти тезисы:
1. Из всех ограничений VMware vCenter Server Appliance самым основным является отсутствие средства обновления хост-серверов VMware ESXi - VMware Update Manager (VUM). Его конечно можно поставить на отдельную Windows-машину, но тогда весь смысл vCSA теряется. Эту ситуацию обещают исправить в VMware vSphere 6.0. Кроме того, отсутствие таких функций, как Linked Mode, работы с кластерами VSAN и поддержки внешней БД Microsoft SQL Server делают для многих модуль vCSA неприемлемым.
2. Лимиты vCSA (100 хостов и 3000 машин) меньше таковых у vCenter Server (1000 хостов и 10 000 виртуальных машин). Это, конечно, актуально только для больших компаний, но все же. Если понадобится, то с vCSA можно использовать внешнюю БД, но только Oracle.
3. В качестве гостевой ОС для vCSA используется дистрибутив SUSE, который имеет отдельную от VMware политику обновлений. VMware не накатывает эти обновления и хотфиксы, как только они становятся доступны. Соответственно, этот факт может вступить в конфликт с политикой информационной безопасности, предполагающей своевременное обновление компонентов виртуальной инфраструктуры.
4. Использование модуля vCSA по-прежнему предполагает знание внутренностей Linux. Если с vCenter Server for Windows справится любой администратор, то для vCSA потребуется квалифицированный специалист, если там что-то сломается.
5. Если в силу перечисленных ограничений вы решите смигрировать с vCSA на vCenter для Windows, это может оказаться проблематичным, так как никаких средств миграции не предусмотрено. Это придется делать вручную, а между тем политика во многих организациях требует сохранения исторических данных (о производительности, действиях администраторов и прочего). Сохранить эти данные не получится.
Поэтому, все-таки, VMware vCenter Server Appliance пока еще не готов для производственной среды, однако мы ожидаем, что ситуация с выходом vSphere 6.0 значительно улучшится.
Спустя полгода с момента выпуска прошлой версии основного руководства по обеспечению безопасности виртуальной инфраструктуры, компания VMware обновила версию этого документа до vSphere Hardening Guide 5.5 Update 1. Надо отметить, что руководство по безопасности вышло аж через 3 месяца после выпуска самой vSphere 5.5 Update 1, что как бы не очень хорошо, так как многие пользователи уже используют U1 в производственной среде, и руководство им пригодилось бы раньше. Ну да ладно, бывало нужно было ждать и дольше.
Доступен также лог изменений с момента прошлого документа:
В новой версии руководства есть следующие важные изменения:
enable-VGA-Only-Mode - эта рекомендация должна быть применена для виртуальных серверов, которым не нужен графический режим (обычно он используется для VDI-инфраструктуры). То есть для веб-серверов, серверов Windows Core и т.п. нужно этот режим включить, чтобы уменьшить поверхность возможной атаки.
disable-non-essential-3D-features - аналогично, отключаем 3D-графику для виртуальных машин, которым это не нужно.
use-unique-roles - если у вас несколько сервисных аккаунтов, то им не нужно назначать одну роль на всех, а нужно создавать для каждого отдельную с необходимым набором привилегий для решения нужной задачи.
change-sso-admin-password - это рекомендация сменить пароль для аккаунта administrator@vsphere.local, когда вы используете виртуальный модуль VMware vCSA (готовая ВМ с vCenter). Для обычного vCenter этот пароль просят сменить при установке. Удивительно, но этой рекомендации раньше не было.
Ну и кроме всего прочего, было пофикшены различные ошибки (например, значения в некоторых ячейках были обрезаны), а некоторые рекомендации переместились в другие категории.
Некоторые администраторы VMware vSphere используют так называемые "Custom Attributes" для виртуальных машин на платформе VMware vSphere. Эти атрибуты могут быть полезны, когда вы хотите добавить какие-нибудь заметки к виртуальной машине, отражающие ее свойства - например, географическое положение, принадлежность системы или ее критичность (эти атрибуты, например, использует Veeam Backup and Replication для сохранения даты последнего бэкапа ВМ). Кстати, начиная с версии VMware vCenter 5.1, кастомные атрибуты на vCenter были заменены "тэгами" (tags).
Так вот в VMware vSphere Web Client функциональности отображения Custom Attributes, к сожалению, нет. Поэтому один из vExpert'ов написал специальный плагин vSphere Web Client Plugin for Custom Attributes (доступен только после регистрации в данной группе VMUG).
Как поставить плагин в VMware vCenter, который установлен в Windows-машине:
Остановить службу vSphere Web Client service.
Скопировать папку haif-customfields-ui в папку C:\Program Files\VMware\Infrastructure\vSphereWebClient\plugin-packages.
Запустить службу vSphere Web Client service.
Если вы используете VMware VCSA (vCenter Server Appliance):
Остановить службу vSphere Web Client service командой:
/etc/init.d/vsphere-client stop
Скопировать папку haif-customfields-ui в папку /usr/lib/vmware-vsphere-client/plugin-packages
Запустить службу vSphere Web Client service командой:
/etc/init.d/vsphere-client start
В результате в свойствах виртуальной машины в Web Client в виде портлета появятся Custom Attributes:
Таги: VMware, vSphere, Web Client, VMachines, Blogs
Раньше пользователи думали о том, как нужно развертывать VMware vCenter - в виртуальной машине или на физическом сервере. Теперь время этих размышлений прошло - большинство ставит его в виртуальной машине. Однако с появлением готового модуля vCenter Server Appliance (vCSA) встал немного другой вопрос - использовать ли готовый vCSA или устанавливать vCenter в Windows. Попробуем разобраться.
Вместе с VMware vSphere 5.5 компания VMware выпустила также виртуальный модуль (Virtual Appliance) сервера управления VMware vCenter Virtual Appliance 5.5 (vCVA или, он же, vCSA), который позволяет развернуть уже готовую виртуальную машину для управления виртуальной инфраструктурой.
Как часто бывает, улучшения новой версии в плане безопасности обернулись геморроем для администраторов - оказалось, что в дефолтном варианте (если вы не меняете своевременно пароль root или не увеличиваете срок устаревания пароля) виртуальный модуль (а точнее, аккаунт root) блокируется через 90 дней после начала использования. А так как эти 90 дней для многих закончились именно сейчас, после праздников, то эта проблема стала весьма актуальной.
Итак, если эти 90 дней у вас еще не прошли, и виртуальный модуль еще не залочен, то можно сделать следующее:
1. Можно продлить срок устаревания пароля.
Зайдем в консоль vCSA как root и выведем содержимое файла безопасности /etc/shadow:
# more /etc/shadow
Пятый аргумент (выделено красным) - это число дней, через которое происходит устаревание пароля root - в данном случае установлено 1095 дней (3 года). Чтобы такое получить, нужно выполнить команду:
# passwd –x 1095 root
Следующие 3 года можно будет не беспокоиться вопросом устаревания пароля root на vCSA.
То же самое можно сделать и через веб-интерфейс настройки vCSA (https://<адрес вашего vCSA>:5480):
2. Можно отключить блокировку root на VMware vCenter Server Appliance по окончанию срока устаревания пароля.
Для этого открываем файл /etc/cron.daily/pass-expiration и меняем там фрагмент:
# disable the password if it's time and not already done.
# don't rely on the pam account facility. prepend an x in the shadow file.
if [ $TODAY -ge $DEADLINE ] && ! grep -q 'root:x' $SHADOW; then
sed -e 's/^root:\(.*\)/root:x\1/' $SHADOW -i
fi
На вот такое:
# force a password change for root if we've reached the password expiration date.
# pam.unix2 doesn't do this the way we would like, so we do this instead.
if [ $TODAY -ge $DEADLINE ]; then
chage –d 0 root
fi
Из комментария понятно, что теперь вместо блокировки root-аккаунта, мы получим запрос о смене пароля по окончании срока действия пароля.
3. Если 90 дней уже прошло, и аккаунт root залочен.
В этом случае делаем следующее:
При загрузке VMware vCSA нажимаем пробел, чтобы предотвратить автозагрузку.
Если загрузка происходит слишком быстро, и вы не успеваете нажать пробел - посмотрите сюда.
Далее нажмите клавишу <p> и введите пароль загрузчика GRUB. По умолчанию это "vmware" или, если вы меняли пароль root, сам пароль пользователя root и есть.
На пункте VMware vCenter Server Appliance нажмите клавишу <e>:
Выберите второй пункт для установки kernel boot parameters:
Далее снова нажмите клавишу <e> и в появившейся строке ввода напишите:
init=/bin/bash
Далее нажмите <Enter>.
Затем клавишу <b>, чтобы начать процесс загрузки.
Произойдет загрузка в однопользовательском режиме.
Напишите команду:
passwd root
Перезагрузите vCSA командой reboot.
Процесс также описан в KB 2069041. Обратите также внимание, что наличие включенного однопользовательского режима Linux тоже является потенциальной дыркой безопасности.
Таги: VMware, vCSA, vCenter, Server, Virtual Appliance, Bugs, Обучение, Linux
Не так давно мы писали о том, что компания VMware обкатывает бета-версию своего руководства по обеспечению безопасности виртуальной среды, а вчера этот документ VMware vSphere 5.5 Hardening Guide был выпущен в окончательной редакции. Если говорить об изменениях по сравнению с бета-версией, то в основном были сделаны добавления в части vSphere Web Client.
Традиционно в документе, который представляет собой Excel-файл с несколькими вкладками, присутствуют следующие разделы:
Virtual Machines
ESXi hosts
Virtual Network
vCenter Server (а также различные БД и клиенты)
vCenter Web Client
vCenter SSO Server
vCenter Virtual Appliance (VCSA) и различные аспекты его использования
vCenter Update Manager
vSphere Management Assistant (vMA)
различные аддоны
По поводу большинства рекомендаций есть необходимые команды CLI или PowerCLI, которые приведут компоненты VMware vSphere в желаемое состояние. Рекомендуется обращать внимание на колонку Negative Functional Impact, которая описывает возможные негативные последствия для инфраструктуры.
Кроме того, некоторые параметры разделены по "профилям риска":
Risk Profile 1 - для суперзащищенных систем (обработка гостайны, информация особой важности). Надо учитывать, что применение этих рекомендаций может повлечь за собой то, что некоторые функции платформы перестанут работать.
Risk Profile 2 - рекомендации среднего уровня защиты, которые необходимо применять при работе с чувствительными данными.
Risk Profile 3 - то, что должны (по-хорошему) применять все.
Также, по традиции, есть и лог изменений с предыдущей версии:
Некоторые вещи были изменены совсем недавно, поэтому многим будет интересно этот док посмотреть.
Скоро VMware vSphere 5.5 Hardening Guide появится вот на этой странице, где собираются все версии руководств Security Hardening Guides (там пока есть доки для vCloud Director и Configuration Manager).
Также порекомендуем здесь комплексное средство для обеспечения безопасности виртуальной инфраструктуры vGate R2, которое (помимо всего прочего) позволит применить необходимые политики Security Hardening Guide и обеспечить защиту от НСД.
Мы традиционно извещаем читателей о том, что компания VMware выпускает черновые и релизные версии своих
руководств по обеспечению безопасности виртуальной среды VMware vSphere (последние тут и тут). На этот раз
руководство вышло заметно быстрее - всего пару месяцев спустя после анонса vSphere 5.5 появилась и бета документа
VMware vSphere 5.5 Hardening Guide.
Как обычно руководство представлено одним Excel-файлом и разделено на следующие секции:
Virtual Machines
ESXi hosts
Virtual Network
vCenter Server (а также различные БД и клиенты)
vCenter Web Client
vCenter SSO Server
vCenter Virtual Appliance (VCSA) и различные аспекты его использования
Вместе с релизом VMware vSphere 5.5 компания VMware также выпустила симулятор сервера управления - vCenter Server Simulator 2.0 (VCSIM 2.0). Напомним, что это средство (о котором мы писали вот тут) позволяет эмулировать сервер VMware vCenter в котором запущены тысячи виртуальных машин, при этом такие объекты потребляют минимум ресурсов и работают на минимальной конфигурации VMware vCSA (vCenter Server Appliance).
А еще это хорошо подходит для всякого рода демонстраций (потемкинские инфраструктуры) и тестов:
Утилита VCSIM 2.0 входит в состав виртуального модуля vCSA 5.5 (vCenter Server Appliance), но отсутствует в обычной инсталляции vCenter.
Что нового появилось в VCSIM 2.0:
Поддержка Virtual Switch (VDS):
Добавление и удаление хостов ESXi из VDS
Создание/удаление Distributed Virtual Portgroup
Настройка Distributed Virtual Portgroup
Добавление/удаление виртуальной машины из Distributed Portgroup
Поддержка vCloud Networking & Security (vCNS) Support:
Развертывание/удаление объектов vApp с включенным сервисом DHCP
Сохранение постоянной конфигурации окружения при перезагрузке:
Folder
Cluster
Resource Pool
Host
Datastore
Virtual Machine
Network
VDS
Поддержка настройки компонентов:
Шаблон ESXi version
Шаблон ESXi configuration
Настройка хранилищ (Datastore)
Настройка Virtual Machine datastore
Простые команды управления симулятором:
vmware-vcsim-start
vmware-vcsim-stop
Перед использованием VCSIM нужно сначала ознакомиться с инструкциями, приведенными вот в этой статье. Более подробнее о новых возможностях VCSIM 2.0 можно почитать вот тут.
Очень часто при чтении документации VMware приходиться сталкиваться с различного рода сокращениями, большинство из которых, конечно же, понятно опытным администраторам VMware vSphere, но не всегда понятно для новичков.
Andrea Mauro составил неплохой список акронимов VMware, который мы и публикуем здесь (ссылки добавил я - на релевантные статьи):
AAM
Automated Availability Manager (aka VMware HA since v 4.1)
Не так давно мы писали о том, что компания VMware выпустила черновик своего регулярно обновляемого руководства по обеспечению безопасности VMware vSphere 5.1 Security Hardening Guide. На днях, после двухмесячных публичных обсуждений, вышла окончательная версия документа vSphere 5.1 Security Hardening Guide с примечаниями и правками от комьюнити.
На различных вкладках документа Excel можно найти сведения о защите следующих компонентов инфраструктуры vSphere:
Виртуальные машины
Хосты ESXi
Виртуальные сети
Сервер управления vCenter Server и его БД.
Сервер vCenter Web Client
Сервер единой аутентификации vCenter SSO
Виртуальный модуль vCenter Virtual Appliance (VCSA), правда всего 3 пункта
Средство обновления vCenter Update Manager
В отличие от предыдущих версий документа, категорий стало несколько больше, а пункты в них стали как-то поконкретнее. Также отметим, что теперь появилась централизованная страничка, где будут собраны все Hardening Guides (почему-то там нет руководства по VMware View):
Не так давно мы писали про странный продукт VMware для управления не только собственной платформой, но и гипервизором от Microsoft - VMware vCenter Multi-Hypervisor Manager. Странным он был потому, что не поддерживал свежую версию Hyper-V 3.0 в Windows Server 2012, а значит, в сущности, был бесполезен.
На днях VMware начала исправлять эту ошибку, выпустив обновленную бета-версию решения VMware vCenter Multi-Hypervisor Manager 1.1, которое теперь поддерживает управление платформой Hyper-V 3.0.
VMware vCenter Multi-Hypervisor Manager поставляется в виде плагина к "толстому" клиенту vSphere Client (Web Client не поддерживается), который предоставляет доступ к дереву объектов Microsoft Hyper-V. Серверная часть Multi-Hypervisor Manager - это Windows-приложение, поэтому если вы используете, например, виртуальный модуль VMware vCenter Server Appliance (vCSA), то придется устанавливать MHM на отдельную виртуальную или физическую Windows-машину и связывать его с сервисом vCenter.
Напомним основные возможности vCenter Multi-Hypervisor Manager для хостов Hyper-V и их виртуальных машин:
Добавление/удаление хостов Hyper-V в окружение vCenter
Информация о конфигурации хостов Hyper-V (processor, memory, network)
Создание/удаление виртуальных машин на Hyper-V
Удаленная консоль как к самим хостам Hyper-V, так и к виртуальным машинам
Простейшие операции по управлению питанием хостов и виртуальных машин (power off, power on, suspend, shut down guest и reset)
Изменение настроек виртуальных машин: память, vCPU, диски, сетевые адаптеры и прочее виртуальное "железо"
Отображение задач для хостов Hyper-V и виртуальных машин на общей панели задач и событий vSphere Client
Интегрированная авторизация с vCenter, а также поддержка механизма пользователей и ролей
Что нового появилось в VMware vCenter Multi-Hypervisor Manager 1.1:
Поддержка окружения Microsoft Hyper-V 3.0 и его виртуальных машин (более ранние версии гипервизора также поддерживаются). Кроме того, поддерживается бесплатная платформа Hyper-V Server 2012.
Возможность миграции ВМ с хостов Hyper-V на платформу ESX или ESXi.
Улучшенная масштабируемость, что выражается в поддержке окружения размером до 50 хостов Hyper-V (ранее было 20).
Возможность предоставления собственных сертификатов для сервера MHM из мастера установки.
Возможность выбрать сразу несколько объектов в интерфейсе, а также другие улучшения юзабилити.
Множественные багофиксы.
Скачать бета-версию VMware vCenter Multi-Hypervisor Manager 1.1 можно по этой ссылке. Руководство пользователя доступно здесь.
Кому-то может пригодиться видео по установке продукта:
Таги: VMware, MHM, Update, vCenter, vSphere, Hyper-V, Windows, Server
На прошлой неделе компания VMware анонсировала новую версию своего решения для виртуализации настольных ПК предприятия VMware Horizon View 5.2. Пользователи предыдущих версий этого продукта, наверняка, заметили, что компания VMware добавила к его названию слово Horizon.
Это все от того, что приставка Horizon означает принадлежность продукта к семейству решений из множества EUC (End User Computing). Продукты под маркой Horizon были объединены в набор VMware Horizon Suite, который включает в себя следующие решения:
VMware Horizon View 5.2 - полноценное решения для виртуализации настольных ПК, о котором сегодня пойдет речь.
VMware Horizon Mirage 4.0 - продукт о котором мы писали вот тут. Это решение, которое позволяет создать образ рабочей станции пользователя, разделив его на слои (система, приложения, а также данные и настройки пользователя), а потом централизованно управлять такими образами. То есть, это продукт для физических сред (и сейчас он пока не интегрирован с VMware View).
VMware Horizon Workspace 1.0 - это комбинация двух интересных продуктов - Horizon Data (бывший Project Octopus - решение а-ля корпоративный Dropbox, о котором мы много писали вот тут), а также Horizon Application Manager - решение для федерации SaaS-приложений и VDI-сервисов (подробная статья здесь).
Напомним, что раньше комплектацию пакета мы уже описывали тут, но с тех пор все немного изменилось - проект VMware Project AppBlast (мы писали о нем тут) был-таки включен в VMware Horizon View. И теперь концепция стала понятной - в пакете VMware Horizon Suite осталось всего 3 продукта (напомним, что ThinApp уже являлся частью VMware View).
Так во что же превратился AppBlast? В полноценного HTML5-клиента виртуальных ПК VMware View:
А теперь приведем краткий обзор возможностей нового решения VMware Horizon View 5.2 (полный обзор будет опубликован после выхода продукта):
Efficient Use of Storage Capacity with SEsparse Disks
Horizon View 5.2 использует возможности VMware vSphere, представляющие новый формат виртуальных дисков Flexible Space Efficiency (Flex-SE он же SE sparse disk), который позволяет найти оптимальное соотношение между потреблением дискового пространства и нагрузкой на хранилище за счет размера выделяемого для диска блока, а также способа управления этими блоками. Кроме этого, появилась возможность возвращения удаленных и неиспользуемых блоков виртуального диска (в гостевой ОС) системе хранения средствами View Composer.
Unified Client with View Desktops in Horizon
Если решение VMware Horizon View установлено в рамках пакета Horizon Suite, то вы получите централизованную консоль доступа к его компонентам, включая View, а также возможности единого входа (Single Sign-On, SSO).
Clientless HTML5 Access to View Desktops & Apps
Это то самое, о чем рассказано в видео выше. Теперь получить доступ к десктопам View можно безо всяких клиентов - просто посредством браузера с поддержкой HTML 5 (через Horizon View Security Server).
Hardware Accelerated 3D Graphics
Интересная возможность VMware Horizon View, позволяющая использовать аппаратные ресурсы GPU-устройства совместно несколькими виртуальными машинами. По-прежнему, виртуальная машина видит универсальное устройство SVGA device, но теперь уже использует возможности 3D-графики в гостевой системе. Соответственно получается 2 режима использования графической акселерации:
vSGA (Shared Graphics Acceleration)
Software 3D renderer
Для таких машин можно делать vMotion без прерывания работы 3D-графики. Пока поддерживаются следующие видеоадаптеры серверов:
PCIEx16 slot
NVIDIA Quadro 4000, 5000 and 6000
Tesla M2070Q
GRID K1 and K2
Improved Video Chat with MSFT Lync Support
Это улучшенная поддержка клиентов Microsoft Lync 2013 в виртуальных ПК, включая полную поддержку VoIP и видеочата для протоколов RDP и PCoIP.
Такжн появилось несколько новых возможностей по интеграции с клиентскими приложениями Microsoft:
Сжатие трафика USB-вебкамер
UDP-канал для ускоренной передачи в WAN
Улучшенная поддержка USB медиа-устройств
Windows 8 Desktop Support
Появилась поддержка виртуальных ПК с гостевыми ОС Windows 8. Исправлены различные баги, имевшие место в предыдущих версиях.
Куча новых возможностей протокола PCoIP
Вот только некоторые из них:
Поддержка сетевых устройств MITM (Man-In-The-Middle)
Настройки PCoIP GPO применяются сразу после изменения
Поддержка Multi Touch для Windows 8
Существенные улучшения безопасности
Улучшения производительности, например, vertical offset caching и другое
Об этом позднее - в полном обзоре новых возможностей.
Horizon Based ThinApp Entitlement for View
Возможность привязать назначение прав на использование виртуальных приложений ThinApp в консоль Horizon Workspace.
Large Pools with more than 8 hosts
Ограничение для связанных клонов в 8 штук хостов ESXi для пула было убрано (подробнее - тут). Теперь действует единый лимит - 32 хоста, неважно Linked Clone пул это или нет.
Multi-VLAN support
Теперь один базовый образ виртуального ПК можно назначить нескольким VLAN или портгруппам.
Кэширование данных для VMware View Manager
Теперь лучше отзывается консоль администрирования (особенно для больших инсталляций).
Улучшение производительности операций Provisioning, Rebalance, Recompose
До двух раз сократилось время развертывания виртуальных ПК и уменьшилось время операции Rebalance для пула.
Integrated Service Console in VC Web Client
Эта экспериментальная возможность позволяет веб-клиенту vSphere Web Client "быть в курсе" объектов VMware View (например, Users, Desktops и Pools). Классная и нужная администраторам штука:
VC Virtual Appliance Support
Да, теперь для установки VMware View поддерживается виртуальный модуль vCenter (vCSA)!
New Admin Dashboard Look & Feel
Теперь новая админка VMware Horizon View выглядит как vSphere Web Client:
Появились также множественные улучшения безопасности решения - но об этом обо всем в следующей статье.
Ну и взглянем на максимумы решения VMware Horizon View 5.2 по сравнению с предыдущей версией VMware View 5.1:
Теперь (ура!) поддерживается 32 хоста в кластере на основе томов VMFS (было 8)
32 хоста в кластере на основе томов NFS (не изменилось)
16 виртуальных машин на физическое ядро (не изменилось)
1000 виртуальных машин на пул виртуальных ПК (для одной реплики) - не изменилось
140 виртуальных машин на один LUN с поддержкой VAAI (не изменилось)
Теперь поддерживается 10 000 ВМ на один сервер vCenter (раньше было 2000)
1000 виртуальных машин на хост VMware ESXi (не изменилось)
О возможности загрузки VMware Horizon View 5.2 будет объявлено дополнительно.
Соответственно, нужно начинать отучать пользователей ходить через vSphere Client и приучать использовать веб. Проблема в том, что штатного способа сделать это нет. Если у пользователя есть доступ - то и клиент он всегда сможет скачать и использовать.
Поэтому William Lam придумал простой способ борьбы с этим. Надо открыть файл version.txt на сервере vCenter, который находится вот тут:
Дальше в значение версии клиента (exactVersion) нужно вписать несуществующую версию, например, 9.0.0. После этого, при логине через vSphere Client, пользователям будет предложено скачать версию клиента, которой не существует, что приведет к зацикливанию процесса:
Однако это приведет к желаемому результату - через vSphere Client пользователи не смогут залогиниться.
На сервере VMware ESXi это тоже можно применить, однако там нужно поправить файл clients.xml, размещенный по адресу:
/usr/lib/vmware/hostd/docroot/client
Так что пора уже переводить своих пользователей на браузер.
Таги: VMware, vSphere, Web Client, Обучение, ESXi, vCenter
Отличный пост про симулятор сервера vCenter написал William Lam. Изложим здесь его вкратце. Когда-то два человека, Zhelong Pan и Kinshuk Govil, написали утилиту vcsim, которая позволяет эмулировать сервер VMware vCenter в котором запущены тысячи виртуальных машин, при этом такие объекты потребляют минимум ресурсов и работают на минимальной конфигурации VMware vCSA (vCenter Server Appliance). Утилита входит в состав vCSA, но отсутствует в обычной инсталляции vCenter.
Помимо собственно построения виртуального Inventory сервера vCenter из виртуальных машин и хост-серверов, утилита vcsim поддерживает простейшие операции с фейковыми объектами, например, Power On ненастоящих машин, а также различные метрики производительности. Кроме того, с помощью этой утилиты можно и добавлять настоящие серверы VMware ESXi и виртуальные машины, создавая гибридную конфигурацию, так как vcsim - это, все же, настоящий vCenter Server.
Теперь приведем ситуации, когда такая конфигурация может оказаться полезной:
При изучении vSphere API для исследования функций навигации по иерархии.
Возможность создать "виртуальное" окружение для тестирования различных скриптов.
Разработка утилит, отслеживающих производительность
Разработка плагинов к vSphere Web Client
Для начала работы с vcsim нужно внести изменения в файл /etc/vmware-vpx/vpxd.cfg, поместив туда следующее между тэгами </vpxd> и </config>:
Кстати, шаблон конфигурации vcsim представлен в файле:
/etc/vmware-vpx/vcsim/model/vcsim.cfg.template
После этого нужно перезапустить сервис vCenter:
service vmware-vpxd restart
Такой перзапуск сервиса можно делать только один раз (даже если он был не успешен), дальше будут использоваться другие команды, приведенные ниже.
После рестарта сервиса мы можем увидеть окружение с сотнями хост-серверов и десятью тысячами виртуальных машин, как в веб-клиенте:
\
так и в "толстом" клиенте:
Теперь мы можем менять параметры окружения в файле:
/etc/vmware-vpx/vcsim/model/initInventory.cfg
В нем можно настраивать следующие объекты:
Datacenter
Hosts per Datacenter
VM per Host
Powered On VM per Host
Cluster per Datacenter
Host Per Cluster
Resource Pool per Cluster
VM per Resource Pool
Powered On VM
vCPU for a VM
vMEM for a VM
После того, как вы сохранили внесенные в конфигурацию изменения, нужно выполнить команду vpxd -b, чтобы пересоздать базу симулируемого vCenter. Поэтому выполняем следующую последовательность для рестарта сервиса:
service vmware-vpxd stop vpxd -b
service vmware-vpxd start
Кроме того, vcsim использует следующие конфигурационные файлы:
vcsim/model/metricMetadata.cfg (симулируемые Performance Metrics - по умолчанию их нет)
vcsim/model/vcModules.cfg (симулируемые модули vCenter, например, DRS)
vcsim/model/OperationDelay.cfg (задержки выполнения операций)
Так что теперь можно испытывать эту штуку и экспериментировать в свободное время. Ну и, само собой, все это никак не поддерживается со стороны VMware.
Таги: VMware, vCenter, vcsim, Blogs, ESXi, VMachines, Обучение
RSS
\
